פוסטים בתגיות: ‘בועז דולב’

 

 בכנס שערכה יבמ (IBM) בתחילת השבוע, אמר יוסי טל – מנהל תחום אבטחת המידע ביבמ-ISS, האחראי על ישראל ויוון, כי מסקר האבטחה שערכה החברה עולה, שכמות תרמיות הפישינג בישראל ירדה כמעט לאפס. זאת, ציין, ככל הנראה בזכות חוק הספאם. הנתון הזה עורר הפתעה בקרב רבים מהנוכחים, כי הוא לא הסתדר להם עם מה שהם מכירים מ-"השטח".

 אופיר זילביגר, מנכ"ל חברת הייעוץ SECOZ ו-ויטלי אוניק – מומחה לפישינג ואבטחת מידע, טוענים שהקביעה של יבמ-ISS – שקושרת את הפישינג לחוק הספאם – אינה הגיונית. "חוק הספאם הוא חוק פרוצדוראלי", אומר אוניק, "החוק לא יצר מנגנונים טכניים למניעת הפצת דואר זבל. את מי שעוסק בפישינג באופן פלילי, ומפיץ ספאם כדי לגרום לאנשים להגיע לאתר המזויף, לא מעניין האם הוא מפיץ את המיילים בהתאם לדרישות חוק הספאם או לא".

 השניים סבורים, כי חוק הספאם לא פתר את בעיית הפצת הספאם של העסקים הלא לגיטימיים, שמתחבאים מאחורי כתובות מזויפות. "החוק יצר בעיה של רף כניסה גבוה לכל מיני עסקים חדשים שרוצים להפיץ ללקוחותיהם דואר לגיטימי, כי יש את הפרוצדורה של לקבל אישור לקוחות – והלקוחות מתחילים להתעייף. זה עלול לפגוע בתחרות העסקית", אומרים השניים.

 גם בועז דולב, לשעבר מנהל ממשל זמין בממשלה וכיום מנכ"ל איוויז'ן סיסטמס, טוען, כי למרבה הצער אין ירידה במספר ניסיונות הפישינג בישראל. דולב לא הסתפק באמירה זו, וטרח לבדוק את הנושא אצל ספקיות האינטרנט הגדולות. גם מהן, הוא מדווח, שמע שאין שינוי בכמות הניסיונות לביצוע תרמיות פישינג בארץ. בין היתר, גילה דולב, שספקיות האינטרנט הגדולות – 012-סמייל, 013-נטוויז'ן ובזק בינלאומי, מקבלות בין שש לעשר התראות מדי יום על פעילות פישינג מכתובות הנמצאות בטווח ה-IP שלהן.

 ההתראות נחלקות לארבעה סוגים מובחנים:

 

א.    התראות על דף פישינג המאוחסן על שרת web של לקוח.

ב.    התראות על דף פישינג המאוחסן על כתובת IP דינמית, אשר מובילה למחשב פרוץ של משתמש קצה ("בוט").

ג.    התראות על אתר אינטרנט המאוחסן אצל הספקית ומפנה לדף פישינג באמצעות קישור.

ד.    התראות על הודעת דוא"ל פישינג שהגיעה מכתובת IP השייכת לספקית (ברוב המקרים, גם כאן הכתובת תוביל למחשב "בוט").

 

"לא ניתן להגדיר מי מהסוגים נפוץ יותר מאחר ואין סטטיסטיקות מסודרות לגבי הנושא", אומר דולב. הוא מבהיר, כי בעת קבלת תלונה על ניסיון פישינג, ספקית האינטרנט יוצרת קשר עם הלקוח ומבקשת ממנו להסיר את הקישור או העמוד הבעייתי. אם מדובר במחשב "בוט", ספקית האינטרנט דורשת מהלקוח לאבטח את מחשבו או לפרמטו, אומר דולב.

 

"השינוי הגדול שהתרחש בשנתיים האחרונות והמאפשר לנו לעבוד בנוחות יחסית עם דואר אלקטרוני, מתבסס על השיפור הגדול במערכות הארגוניות לאיתור וחסימת ספאם", מעריך דולב. לדבריו, מספר מנהלי תקשורת בכמה חברות דיווחו, כי כ-90% מהדואר המתקבל אצלם נחסם על ידי מערכות אלה. לדוגמה: ארגון שמקבל כמיליון דברי דואר ביום, עוצר באופן אקטיבי באמצעות מערכות סינון וחסימה כ-900,000 דברי דואר המוגדרים כספאם.

 

מה זה "פישינג"?

 

פישינג הוא ניסיון שליפה של פרטים אישיים של גולשים בדרכי מרמה. פרטים אלה יהיו כרטיס אשראי ו/או סיסמאות לחשבונות בנק מקוונים, חשבונות תשלום כמו PayPal, שמות משתמש וסיסמה לאתרי מסחר אלקטרוני כגון אי-ביי (eBay) או חשבונות אינטרנטיים אחרים. התקשורת הראשונית בין העבריין או יוזם הפישינג לבין הקורבן, תהיה באמצעות דוא"ל או מסר מיידי, וברוב המקרים תפנה את הקורבן לדף אינטרנט שהוא mirror לאתר לגיטימי (כמו דף הכניסה לחשבון הבנק, למשל) שם יכניס הקורבן את פרטיו האישיים שייאספו על ידי העבריין והוא יעשה בהם שימוש.

 

בועז דולב מציין, כי "לאחרונה מתרבים הדיווחים על הודעות שלקוחות מקבלים, אשר נראות כמו בקשה למסירת מידע אישי כמו שם משתמש, סיסמה, מספר תעודת זהות או כל מידע אישי אחר. מדובר בהשתכללות של מפיצי דואר הזבל מסוג פישינג שמנסים להגיע אל קהלי יעד שונים באמצעות שימוש במתרגמי אונליין שונים כמו Google Translator או Babelfish. שולחי דואר הזבל מסגננים הודעה באנגלית, מעבירים אותה דרך מנוע התרגום ושולחים את התוצאה אל מספר רב של נמענים ממדינת היעד שנבחרה, תוך שהם משנים, בהתאם לדומיין של הנמען, את כותרת ההודעה ואת שורת החתימה בכל הודעה".

 

השורה התחתונה: חוק הספאם לא הוריד את מפלס הזבל שאנו מקבלים כל יום בדואר האלקטרוני. חוק הספאם שייך לאותם חוקים שמן הראוי שלא היו נחקקים, כי הוא נכתב מתוך רצון להלחם בתופעות כמו פישינג – אבל בסופו של דבר העניש את אלו שמשתמשים באינטרנט למטרות מסחריות לגיטימיות

 

 

ישראל כמקור ההתקפה

 

• התפלגות פישינג שמקורו ב- ISP ישראלים החל מה-1 לינואר 2010:

 

שם ISP	כמות תקיפות Phishing
ברק-נטוויזן	9
בזק בינלאומי	10
קווי זהב	28
סלקום ישראל	1
Gilat Satcom	1
GNS	1
Hostdime Israel	6
OMC	1
Omnitech	2
סה"כ	59

 

 

 

• זמן תגובה ממוצע עד הורדת האתר:

 

 

שם ISP	זמן סגירה ממוצע (שעות)
ברק-נטוויזן	18:38
בזק בינלאומי	17:19
קווי זהב	6:03
סלקום ישראל	11:10
Gilat Satcom	18:06
GNS	72:03
Hostdime Israel	6:07
OMC	19:28
Omnitech	15:38
סה"כ	11:54

 

 

• סוג ההתקפות:

59 התקפות פישינג רגילות (לא Proxy), הרוב אתרים חטופים. התקפה אחת שהיא brand, ו-14 התקפות מסוג Trojan.

20 אימיילים ((drop point ו-419 אחד.

סה"כ 95 התקפות שמקורן בישראל.

 

• סה"כ התקפות שמקורם בישראל, לפי חודשים

סה"כ תקיפות (כל הסוגים):

 

חודש	כמות תקיפות
ינואר	5
פברואר	9
מרץ	9
אפריל	15
מאי	23
יוני	12
יולי	22
סה"כ	95

 

 

סה"כ תקיפות פישינג:

 

חודש	כמות תקיפות Phishing
ינואר	5
פברואר	4
מרץ	7
אפריל	11
מאי	10
יוני	7
יולי	14
סה"כ	59

 

 

• ישראל כיעד ההתקפה:

מספר התקפות ומספר יעדים, לפי חודשים

 

חודש	כמות תקיפות Phishing
ינואר	0
פברואר	1
מרץ	2
אפריל	1
מאי	6
יוני	2
יולי	2
סה"כ	14

 

 

• ישראל כאחוז סה"כ ההתקפות בעולם:

סה"כ התקפות בעולם שזוהו ע"י מוקד ה-AFCC: מעל ל-98000 התקפות

מספר ההתקפות נגד יישויות ישראליות שואף ל-0

 

סטטיסטיקות עולמיות בקישור: http://rsa.com/node.aspx?id=1331

הבלוג הרשמי של חטיבת הלוחמה בהונאות: http://www.rsa.com/blog/blog.aspx?author=RSAF

הבלוג של אורי ריבנר בנושא פשע מקוון: http://www.finextra.com/community/blogs.aspx?mem_id=39696

הבלוג של עידן אהרוני, ראש מחלקת מודיעין הונאות: http://www.rsa.com/blog/blog.aspx?author=aharoni

 

 

 

 

 

 

אז מה זה פישינג ?

 

"פישינג" הוא ניסיון שליפה של פרטים אישיים של גולשים בדרכי מרמה. פרטים אלה יהיו כרטיס אשראי ו /או סיסמאות לחשבונות בנק מקוונים, חשבונות תשלום כמו paypal, שמות משתמש וסיסמא באתרי מסחר אלקטרוני כגון Ebay או חשבונות אינטרנטיים אחרים. התקשורת הראשונית בין ה"עבריין" או יוזם הפישינג לבין ה"קורבן" תהיה באמצעות דוא"ל או מסר מיידי, וברוב המקרים תפנה את ה"קורבן" לדף אינטרנט שהוא mirror לאתר לגיטימי (כמו דף הכניסה לחשבון הבנק, למשל) שם יכניס ה"קורבן" את פרטיו האישיים שייאספו ע"י ה"עבריין" והוא יעשה בהם שימוש.  

פישינג יכול לבוא לידי ביטוי גם כאתר אינטרנט וגם באמצעות הודעות דוא"ל.

לאחרונה מתרבים הדיווחים על הודעות שלקוחות מקבלים, אשר נראות כמו בקשה למסירת מידע אישי כמו שם משתמש, סיסמא, מספר תעודת זהות או כל מידע אישי אחר. מדובר בהשתכללות של מפיצי דואר הזבל מסוג פישינג שמנסים להגיע אל קהלי יעד שונים באמצעות שימוש במתרגמי און ליין שונים כמו Google translator או Babelfish. שולחי דואר הזבל מסגננים הודעה באנגלית, מעבירים אותה דרך מנוע התרגום ושולחים את התוצאה אל מספר רב של נמענים ממדינת היעד שנבחרה, תוך שהם משנים, בהתאם לדומיין של הנמען, את כותרת ההודעה ואת שורת החתימה בכל הודעה.

אפשר להבחין בין הודעת דוא"ל פישינג לבין פניה לגיטימית באמצעות שימת לב לסגנון הניסוח הלקוי של ההודעה ולעובדה שאין בהודעה שום פרט מזהה כגון לוגו החברה, שם הנציג ששלח את ההודעה או כל אלמנט אחר שיכול להעיד על אותנטיות. אתרי פישינג אפשר לזהות באמצעים שונים המפורטים בקישור ה"בוחן" של חברת verisign: https://www.phish-no-phish.com/default.aspx 

הודעת פישינג לדוגמא:  

—–Original Message—–

From: שירות לקוחות [mailto:argusdca@cox.net]

Sent: Thursday, June 25, 2009 5:25 AM

To: Undisclosed recipients:

Subject: הודעה חשובה לכל המשתמשים 012.NET.IL.

 לקוח יקר,

 אנו כותבים על מנת להודיע לך כי נמשיך לבצע כמה זמני תחזוקה השירותים שלנו בגלל גודש בכל הלקוחות של חשבון הדואר האלקטרוני. בבקשה הודיע כי ללקוחות תהיה גישה הוגבלה את חשבון הדואר האלקטרוני ב פעם בכמה ימים. זהו מדריך למניעת דואר זבל, וכן מאפשר לנו לעדכן כל חשבון דואר אלקטרוני עבור שירות טוב יותר. במונחים של, אתה חייב לשלוח את פרטי החשבון שלנו Mail עבור שליטה תחזוקה עדכון מיידי.

 זיהוי משתמש :………………………

סיסמה :……………………….

תאריך לידה :…………………..

מדינה או טריטוריה :…………………

 לאחר מכן בצע את ההוראות המופיעות על הגיליון, חשבון הדואר האלקטרוני שלך אינה מושעה וימשיך כפי normal.Thanks על תשומת הלב לבקשה זו.

 NBהסיסמאות בטוחים איתנו ושוב אנו מתנצלים על כל אי נוחות או inconveniences בבקשה

       לשאת איתנו.

 

 

 

1.ועדת הבדיקה של יובל שטייניץ

ערב חג הפסח, פרסם משרד האוצר הודעה חריגה יחסית להודעות שמתקבלות ממנו בדרך כלל. עניינה הוא שד"ר יובל שטייניץ, שר האוצר, הורה על הקמת ועדה שתבדוק מחדש את המבנה הארגוני של מערך התיקשוב בממשלה, וכן תבדוק האם יש מקום להקים משרד חדש, CIO ממשלתי, שבראשו יעמוד מנמ"ר הממשלה.

בראש הוועדה יעמוד חיים שני, מנכ"ל משרד האוצר, ויהיו חברים בה מנכ"לים ממשרדי ממשלה שונים, יועצים חיצוניים ונציגים של אגף החשב הכללי באוצר. הוועדה תתכנס לראשונה ב-18 באפריל. אם לשפוט על פי הרכב חבריה הבכירים, הרי שיש להניח שבכוונתה להגיע למסקנות אופרטיביות בזמן קצר יחסית.

הסוגיה של מבנה מערך התיקשוב בממשלה נדונה כבר לא פעם בעבר. באופן מסורתי ב-25 השנים האחרונות, התיקשוב בממשלה מופקד בידיו של החשב הכללי. אחד מסגניו של החשב הכללי (כיום זהו טל הרמתי) משמש כמנהל אחראי לכל הפעילות התיקשובית של הממשלה. בשנים האחרונות, עיקר הפעילות עסק ביישום ובהטמעת המרכב"ה, פרויקט ה-ERP הממשלתי, ובאחריות על יחידת ממשל זמין. זו צמחה עם השנים, הפכה למעשה לכמעט אגף בפני עצמו, בראשה עמד עד לא מכבר בועז דולב.

טרם פרסום ההודעה על הוועדה שהוקמה, נפוצו שמועות במסדרונות האוצר, לפיהן מתכוון מנכ"ל האוצר, שני, לערוך שינוי מבני בתיקשוב הממשלתי ובסמכויותיו. שני, גרסו השמועות, רוצה להכפיף תחתיו את ממשל זמין. השמועות הוכחשו על ידי דובר משרד האוצר, וגורמים בחשב הכללי טרחו להדגיש, כי המנכ"ל שני וסגן החשב הכללי הרמתי – עובדים בשיתוף פעולה מלא. לאחר פרסום ההודעה על הקמת הוועדה, הסבירו באוצר כי אין קשר בין שני הדברים, אבל בקריית הממשלה בירושלים, יש מעטים שמוכנים לחתום על כך.

כך או כך, החלק המעניין יותר במסקנות הוועדה יהיה לגבי המלצותיה על מבנה משרד המנמ"ר הממשלתי, וכפועל יוצא – זהות העומד בראשו. אלא שספק אם הוועדה תתייחס לפן האישי, ויש להניח שהיא תשאיר היבט זה לפוליטיקאים. הדעה הרווחת היא שהרמתי הוא המועמד הטבעי לכהן בתפקיד זה, אבל מאחר ומדובר בפוליטיקאים, ברור לכל שחברי הוועדה יכולים להגיע למסקנות אחרות.

שני וחבריו לוועדה יוכלו להיעזר בעבודתם בדו"ח אחר, שהוגש להרמתי כמה ימים לפני פרסום ההודעה על הקמת הוועדה. הדו"ח דן בסוגיה הנכבדה של בדיקת פרויקטים גדולים לפיתוח תוכנה בממשלה. חברי הוועדה שהגישו דו"ח זה היו מנמ"רים החברים בפורום המנמ"רים הממשלתי. מטרתם בהכנת הדו"ח היתה לייעץ לממשלה איך לנהל בעתיד פרויקטי תוכנה ומכרזים בצורה יעילה וטובה יותר ולמנוע כישלונות. את הוועדה מינה הרמתי, ואת עבודתה ריכז עו"ד אודי ניסימיאן, המנמ"ר הפורש של משרד המשפטים. שלא במקרה, אחת המסקנות הראשונות של הוועדה מתייחסת להקמת משרד מנמ"ר ממשלתי.

"במדינות העולם המערבי", נכתב בדו"ח, "קיימת לרוב יחידה המרכזת את נושא סטנדרטיזיציית ה-IT ומשרד זה משתייך על פי רוב למשרד ראש הממשלה, או למשרד מתווה מדיניות כלל ממשלתית אחרת". הוועדה המליצה שהמשרד שיוקם, יעסוק בעיקר בנושא פיתוח אסטרטגיה, מדיניות והפרקטיקות שנלוות למימושן. זה ייעשה באמצעות איסוף מידע תיאורטי, לצד ידע הנלמד מהשטח, ממנמ"רי הממשלה. עו"ד ניסמיאן סבור שמשרד כזה יכול לתרום רבות לייעול ההוצאות וההשקעות בתשתיות מיחשוב בכל משרדי הממשלה.

"למה למשל לא ניתן כיום, באמצעות הטכנולוגיות הקיימות, לרכז את כל נושא האיחסון הממשלתי במסגרת אחת, או לפחות לנהל אותו בשליטה מרכזית", אמר עו"ד ניסימיאן לאנשים ומחשבים, "מדוע הממשלה צריכה לקנות לחוד עבור כל משרד פתרונות אחסון, תקשורת, ואבטחת מידע. מדוע לא ניתן לעשות זאת בצורה משותפת ואחידה לכל המשרדים?". המנמ"רים בממשלה שהופיעו בפני הוועדה, מסכימים כי אכן יש צורך ב"קול אחד" ממשלתי בנושא ה-IT , מדיניות שלא קיימת כיום. עוד נכתב בדו"ח כי הוועדה רואה במשרד המנמ"ר הממשלתי יחידה בעלת סמכות, שתנוע על קו התפר שבין גוף מנחה לגוף ביצועי.

עו"ד ניסימיאן מודע למכשולים הפוליטיים והארגוניים שיכולים לנבוע ממדיניות שכזו. "המנמ"ר הממשלתי לא יתערב בעבודת המנמ"רים בממשלה", הוא מציין, "אבל הוא יקבע סטנדרטים, יחליט על כיוונים של פלטפורמות, תקנים, אחידות. זה לכשעצמו יהיה כבר הישג גדול אם הוא יצליח לעשות זאת".

2. המכרז שמסרב להסתיים

בעיתוי מקרי לחלוטין,במקביל להחלטה על הקמת הוועדה של שר האוצר,ערב חג הפסח, רגע לפני טקסי הרמת הכוסיות במקומות העבודה, קיבלו חלק מהמנכ"לים של חברות ה-IT מכתבים רשמיים מאגף החשב הכללי במשרד האוצר. תוכן המכתב נגע לתוצאות ראשונות של מכרז בתי התוכנה למיחשוב הממשלתי.

המכתבים כללו שני חלקים. באחד, הודעה על שיבוצן לאשכולות של החברות שהשתתפו במכרז, בהתאם להצעות שהגישו. החלק השני בישר לזוכים לאילו הנחות בתעריפים מצפה הממשלה לקבל, בהעסקת עובדים ב-"קוסט פלוס". מקריאת סעיף זה במכתב, עולה כי הממשלה מצפה לצניחה דרמטית בתעריפי שעות העבודה שהיא משלמת לעובדי המיחשוב ב-"קוסט פלוס". במקצועות מסוימים אמורה ההנחה להגיע עד לגובה של 40% מהתעריף הנוכחי.

במכתב מתבקשות החברות להשיב על הצעות הממשלה עד ה-15 באפריל. סעיף זה במכתב העכיר את רוחם של לא מעט מנכ"לים בענף ויצר תחושות של אכזבה, זעם וחשש גדול מהעתיד. המגזר הממשלתי, אף שאינו מהווה נתח שוק עיקרי למרבית החברות, הוא עדיין חשוב עבורן, ואף חברה לא רוצה למצוא את עצמה מחוץ לפעילות בו.

המעניין הוא שהזעם של הספקים מופנה לא רק כלפי הממשלה, אלא גם כלפי עמיתיהם בענף. בתחילת המכרז נראה היה, כי כולם תמימי דעים, כי אף שתפקידה של הממשלה הוא להוזיל עלויות ולקבל שירותים במחירים הכי נמוכים שאפשר – הרי שברורה לכולם החשיבות לאיכות כוח האדם. עוד בטרם ניגשו למכרז, הזהירו הספקים כי הממשלה עלולה לשלם ביוקר ושאם היא תשבור את השוק, היא תעמוד בפני בריחה של כוח אדם מקצועי, שימצא עצמו במגזר הפרטי, או יועבר על ידי החברות שמעסיקות אותו לפרויקטים אחרים. כך, התריעו הספקים, תמצא עצמה הממשלה עם העובדים שיישארו, שיהיו חסרי ניסיון ומוכשרים פחות. טענה זו נדחתה מכל וכל על ידי עורכי המכרז, שאף מחו על כך שהספקים יוצרים הכללות וקובעים שתעריף נמוך מלמד על היעדר כישוריו של העובד.

אלא שמה שעל קוראי הטור לדעת, הוא שהמכתבים שנשלחו לספקים, משקפים למעשה את הצעות המחיר שהממשלה קיבלה מהם. על בסיס הצעות אלה שקיבלה הממשלה, היא העלתה את דרישותיה להנחות. מה קרה? על מה מלינים הספקים? מובן מאליו שהחברות שהשתתפו במכרז לא תיאמו ביניהם את הצעות המחיר. ואם כך הוא הדבר, אל מי בעצם באים הספקים בטענות?

הפניית החיצים כלפי ספק זה או אחר, ראויה לבדיקה. אבל בסופו של יום הממשלה שידרה לענף מסר מאוד ברור, גם אם מרגיז חלק מהספקים: אנחנו משחקים בשוק פתוח, איננו מוותרים על איכות כוח האדם, אולם גם לא מוותרים על זכותנו לחסוך בכספי ציבור.

המאבק הציבורי שניהלו חברות ה-IT למניעת הירידה ברמה של כוח האדם הממשלתי, עבר בין היתר דרך בתי המשפט. זהו מאבק חשוב וראוי להערכה. אבל כאשר באו חלק מהספקים להגיש את ההצעות, היו ביניהם כאלה ששמו את האידיאולוגיה בצד. הם זכרו היטב את מי הם משרתים, מיהם בעלי המניות שלהם, ולכן הגישו את הצעות המחיר שהגישו – כדי להישאר מעל המים. הרי לפניכם עוד דוגמה לפתגם העתיק: "אם אינך יכול להלחם בהם, הצטרף אליהם".

האם זה טוב ליהודים? האם חששות הספקים לגבי ההשלכות שיש למחירים נמוכים אלו עלולות להתממש? קשה לדעת. הכדור חוזר כעת לממשלה, המצויה במילכוד מסויים. הספקים אומרים לממשלה לכאורה: "ביקשתם רמת מחירים נמוכה, אתם רוצים להוזיל מחירים? בבקשה, קיבלתם. עכשיו נראה איך אתם הולכים להתמודד עם מצב זה". כעת מוטלת המשימה על אנשי החשב הכללי במשרד האוצר. יהיה עליה לתמרן, כדי למנוע זעזועים בכוח אדם וברמתו, ומנגד – גם לשמור על העקרונות של המכרז, שהיא בעצמה כתבה.

למה נכשלים פרויקטי מיחשוב בממשלה

פרויקטי מיחשוב בממשלה היו מאז ומעולם נושא טעון. הדעה הרווחת היא שפרויקט מיחשוב ממשלתי לעולם לא יסתיים בזמן, לעולם לא יעמוד במסגרת התקציב, לעולם לא יספק את כל הדרישות וכמעט בטוח שבטרם ייצא לפועל, אם בכלל, יעבור דרך בתי המשפט. הסיבות למציאות הזו הן רבות ומורכבות יותר מאשר התשובות השגורות בפי רבים, שעיקרן הטלת האשמה על הממשלה בלבד או על הספקים שמחפשים רווחים קלים על חשבון הציבור.

קצת לפני ערב החג, הגישה הוועדה לבדיקת פרויקטים גדולים של פיתוח תוכנה בממשלה את מסקנותיה לסגן החשב הכללי, טל הרמתי, שמינה אותה. הוועדה הורכבה מחברי פורום המנמ"רים בממשלה ובין חבריה נמנו: אודי ניסמיאן, המנמ"ר הפורש של משרד המשפטים שגם ריכז את הוועדה ואת כתיבת מסקנותיה, יהודה סרוסי, מנמ"ר הביטוח הלאומי, שמעון זמיר, ראש אגף תיקשוב במשרד החוץ, דן בן סימון, מנהל אגף מערכות מידע בהוצאה לפועל, ד"ר נחמן אורון, יועץ מיחשוב לממשלה, ד"ר רועי גלברד, יועץ מיחשוב, ואביב מצא, נציג משרד החינוך.

החלק הראשון של הדו"ח עוסק בהמלצות על הקמת משרד CIO ממשלתי, עליו דיווחנו בפרק הקודם. אבל החלק העיקרי עוסק בפרויקטי המיחשוב הממשלתיים ובנסיון להמליץ על דרכים לשיפור המציאות הקיימת.

"הגענו למסקנה שאחת הבעיות המרכזיות שגורמות למציאות הקיימת כיום בכל הקשור לפרויקטי המיחשוב והמכרזים היא היעדר מתודולוגיה אחידה הנהוגה בממשלה, כאשר המציאות היא שכל משרד מבצע כמידת יכולתו ורצונו, רענון של המתודולוגיה", אומר ניסמיאן.

לדבריו, "לא קיים גוף המבקר את הנושא המתודולוגי בממשלה ולכן ההמלצה שלנו היא שיוקם צוות שיבדוק את המתודולוגיה הנהוגה בממשלה ויפעל להאחדתה, התאמתה, רענון ומודרניזציה של המתודולוגיות". בפרק המתייחס לכך בדו"ח נאמר בין היתר, כי "יש לבחון מחדש את ההסתמכות על נוהל מפת"ח בכל מה שקשור לפיתוח ועבודת הממשלה ולשקול הקמת גוף רגולציה ממשלתי שיפעל לחיבור תקנון עבודה ביחידות המחשב".

המלצה מעניינת אחרת מתייחסת לצורת עבודות הפיתוח בממשלה. הוועדה ממליצה לממשלה לעבור לפיתוח אג'ילי. "הפיתוח האג'ילי הוא פיתוח זריז של תוכנה, כאשר השיטה מבוססת על כך שהדרישות והפתרונות מתפתחות לאורך הדרך ולא קובעים הכל מראש", נאמר בדו"ח. מחברי הדו"ח קובעים, כי "כחלק משיטה זו ניתן לפתח בו זמנית מספר מרכיבים על פי סדרי עדיפויות ידועים מראש שמוכרים בספרות העולמית" . חברי הוועדה כותבים בסוף פרק זה, שהם ממליצים לממשלה לבצע תוכנית פיילוט שתאמץ מתודולוגיות פיתוח זריזות יותר ועל סמך הפיילוט להחליט כיצד להמשיך הלאה.

סעיפים אחרים בפרק עוסקים בנושא האחריות הניהולית. "מחקרים בכל העולם מראים, כי חשוב שכל מנהל בכיר ייקח על עצמו את האחריות לפרויקט, כולל השר של המשרד בו מתבצע הפרויקט". כותבי הדו"ח מוסיפים, כי חשוב מאוד שגם למנמ"רים יינתנו כלים ותקציבים שיאפשרו גמישות בניהול הפרויקט. בנושא הזה חברי הוועדה הרחיקו לכת וממליצים להקים מנגנון ממשלתי שיאפשר למנמ"ר גמישות בניהול הפרויקט כולל סמכות ולאשר חריגות בהיקף של עד 10% מתקציב פרויקט נתון במסגרת התקציב המשרדי".

ומה לגבי שיטת המכרזים? חברי הוועדה אינם מתיימרים למצוא את נוסחת הקסם למרכיב בעייתי זה בפעילות הממשלה, אבל ללא ספק הם היו תמימי דעים, כי "הגיע הזמן לבחון את שיטת המכרז הנהוגה כיום בכל משרדי הממשלה", ובין היתר הם ממליצים לאמץ את המודל האירופי. על פי מודל זה, בפרויקטי IT מורכבים ניתן להגיע לדיוק מירבי של הדרישות על ידי קיום דיון מפורט של הפתרון שמציעים הספקים, ועקב שוק הספקים הקטן בישראל, ניתן לשקול שיטה דומה שמבחינת מאפייניה תתאים יותר לישראל.

כמו כן ממליצים חברי הוועדה שבכל פרויקט ישקל לגופו סוג החוזה המתאים, כולל חוזים שמבטאים סיכונים משותפים לספק וללקוח. הם אף מציעים לצדדים לחתום על מסמך הצהרת כוונות משותפות, שנועד ליצור אינטרסים משותפים להצלחת הפרויקט.

אולם המסקנה החשובה ביותר לטעמו של עו"ד נסימיאן, שהגיב לדו"ח בשיחה עם אנשים ומחשבים, היא בעובדה אחת חשובה: "אין כיום מסגרת אחת ניטרלית להידברות בין הספקים לממשלה. מסגרת זו חסרה מאוד ויוזמתה של קבוצת אנשים ומחשבים להקים את פורום G3, שיכלול את כל המנמ"רים במגזר הציבורי שיפגשו לשיחות עם הספקים כדי ללבן את הבעיות, יכול לתרום רבות לפתרון חלק גדול מהבעיות שהעלינו כאן".